近年、セキュリティベンダーの買収を活発に行ってきたブルーコートシステムズ。昨年(2015年)には「CASB(Cloud Access Security Broker)」領域でElastica(エラスティカ)、Perspecsys(パースペクシス)の2社を買収し、ブルーコートが持つゲートウェイセキュリティ製品群との統合ソリューションも発表している。
このCASBとは何なのか、それが必要となる背景や戦略は。来日したブルーコート幹部のリチャード・マクルーニー氏、Elastica幹部のジョン・カニンガム氏に聞いた。
(左より)米ブルーコートシステムズ プロフェッショナルサービス、サポート&リニューアル部門担当VPのリチャード・マクルーニー(Richard McCluney)氏、Elastica VP&アジア太平洋地域マネージングディレクターのジョン・カニンガム(John Cunningham)氏
CASB(Cloud Access Security Broker)とは何か、なぜ必要か
そもそも、日本ではまだ「CASB(キャスビー)」という言葉自体に馴染みがない。ガートナーの定義によれば、企業が利用する複数のクラウドサービスに対して、認証/シングルサインオンやアクセス制御、データ暗号化、ログ取得、マルウェア対策といった、一貫したセキュリティポリシーを適用(enforcement)するクラウドサービス(またはオンプレミス製品)を指す。
Eメールからファイル共有、オフィススイート、SFAやCRMまで、企業がさまざまなクラウドアプリケーションを利用するようになった中で、企業ファイアウォールの「外側」におけるセキュリティとガバナンスが課題となっている。加えて、いわゆる“シャドーIT”の発生も管理者を悩ませる。従業員の業務効率と利便性を損なうことなく、なおかつ自社のセキュリティポリシーも一貫して守りながらクラウドを利用できるように、CASBが生まれた。
もちろん、クラウドサービス事業者もそれぞれにセキュリティを担保するようになっているが、あくまでそれは個々のアプリケーションやデータセンター内の話にとどまる。複数のクラウドサービス全体において、セキュリティポリシーやデータのガバナンスを図ることは難しい。
企業内(左)は信頼できる領域だが、クラウドサービス(右)の信頼性は限定的。さらに“シャドーIT”のサービスは信頼できない
「従来型の境界セキュリティだけでは、クラウド側で何が起きているのかを企業が把握することができない。たとえば機密データへのアクセスコントロール、誰がアクセスしたかの証跡(記録)、そうしたものを一元的に把握する責任が利用する企業にはある。そこでCASBが必要になる」(カニンガム氏)
カニンガム氏は、ガートナーはCASB市場をさらに「ディスカバリー」「クラウドDLP」「クラウドデータ保護」の3領域に分類していると説明する。Elasticaが提供する「CloudSOC」は、この3領域すべての機能を提供するクラウドサービスである。「クラウドの中に新しいセキュリティスタックを構築した」(カニンガム氏)。
ElasticaのCloudSOCは、監査(Audit)、検知(Detect)、防御(Protect)、調査(Investigate)というセキュリティスタックすべてを、クラウドサービスとして提供する
まず、自社内で利用されているクラウドアプリケーションを発見、可視化するのが「ディスカバリー」だ。「多くのエンタープライズ企業は、自社内で利用されているクラウドサービスの数は20~40程度だろうと考えている。しかし、調査によると実は70~100も使われている」(カニンガム氏)。シャドーITの実態を可視化することで、「何らかの機密情報が“シャドーデータ”として社外に漏れている」リスクを測る指標にもなる。
アプリケーションの認可/不認可にかかわらず、外部に持ち出される重要データ=“シャドーデータ”への対策も必要
企業内からクラウドサービスを通じて外に出るファイル(非構造化データ)を監視し、アクセス制限をかけたり公開/共有/アクセス状況を把握できるようにするのが「クラウドDLP」だ。カニンガム氏は「データがどこにあり、誰が、どう守っているのか、そのデータはどれだけの価値を持つかという要素に基づいてリスクを特定し、誰にアクセスを許可するかをコントロールする」と説明する。
一方で、Salesforceなどのクラウド型業務アプリケーションに記録されるデータ(構造化データ)を守るのが「クラウドデータ保護」に当たる。こちらでは特に、データ管理にまつわる法的規制/監査要件に基づいて、個人情報やクレジットカード情報、ヘルスケア情報などに対して、クラウドに送信される段階でデータにモニタリングや暗号化/トークン化を施すことが求められる。
「これまでは、こうした〔3領域の〕保護を提供するプロバイダーはバラバラだった。そうすると、データは複雑に行ったり来たりすることになる。顧客企業がソリューション全体を見渡せるか、SLAは誰が保証してくれるのか、それらのプロバイダー間で連携ができているか、といった課題も生じる。そこでブルーコートでは、自社での研究開発とElasticaやPerspecsysの買収を通じて、包括的なセキュリティソリューションを構成し、オールインワンで利用できるようにした」(マクルーニー氏)
複数のクラウドセキュリティを利用すると全体が複雑になる(左)。統合プラットフォームを利用することで、全体像を見渡し、一元的な管理も容易になる
